Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

例:EX シリーズ スイッチで MPLS CCC を介した MACsec の設定

この例では、基本的なMPLS CCCを介して、あるサイトのユーザから別のサイトのユーザに移動する機密性の高いトラフィックをMACsecで保護する方法を示しています。

必要条件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • MPLS ネットワークで PE およびプロバイダ スイッチとして使用される 3 台の EX4550 スイッチ

  • サイトAをMPLSネットワークに接続するCEスイッチとして使用されるEX4550スイッチ1台

  • サイトBをMPLSネットワークに接続するCEスイッチとして使用されるSFP+ MACsecアップリンクモジュールを搭載したEX4200スイッチ1台

  • MPLS ネットワーク内のすべての EX4550 スイッチ(PE1、PE2、またはプロバイダ スイッチ)で実行されている Junos OS リリース 12.2R1 以降

  • サイト A の CE スイッチとサイト B の CE スイッチで実行されている Junos OS リリース 13.2X50-D15 (制御バージョン) 以降

    手記:

    MACsecを有効にするには、ジュニパーネットワークスJunosオペレーティングシステム(Junos OS)ソフトウェアの制御バージョンをダウンロードする必要があります。MACsecソフトウェアのサポートは、デフォルトでスイッチにインストールされているJunos OSソフトウェアの国内バージョンでは利用できません。Junos OSソフトウェアの制御バージョンには、国内バージョンのJunos OSで利用可能なすべての機能が含まれ、MACsecもサポートされています。MACsecソフトウェア要件の詳細については、 メディアアクセス制御セキュリティ(MACsec)について を参照してください。

  • サイトAのCEスイッチとサイトBのCEスイッチにインストールされているMACsec機能ライセンス

    手記:

    MACsecのソフトウェアライセンスを購入するには、ジュニパーネットワークスの営業担当者(https://www.juniper.net/us/en/contact-us/sales-offices)にお問い合わせください。ジュニパーネットワークスの営業担当者が、機能ライセンス ファイルとライセンス キーを提供します。スイッチのシャーシシリアル番号を入力するよう求められます。シリアル番号は、 show virtual-chassis コマンドまたは show chassis hardware コマンドを実行して取得できます。

概要とトポロジー

この例では、財務上の機密性の高い企業データは、サイト A のユーザーとサイト B のユーザーの間で送信されることがよくあります。同社は、サイト A のユーザーからサイト B のユーザーに移動するすべてのネットワーク トラフィックの安全性が高く、攻撃者が表示したり破損したりできないようにしたいと考えています。同社は、攻撃者がデータを閲覧できないようにするための暗号化と、送信されたデータが破損していないことを確認するための整合性チェックを提供するMACsecが提供する業界標準のレイヤー2セキュリティを使用して、サイトを接続するMPLSクラウドを介してCCC上を移動するすべてのトラフィックを保護しています。VLANは、MACsecで保護されたCCCを介して2人のユーザー間を移動するトラフィックがサイトを通過するように、両方のサイトで設定されています。

この例のMPLSネットワークには、2つのPE(プロバイダエッジ)スイッチ(PE1とPE2)と1つのプロバイダ(トランジット)スイッチが含まれています。PE1 はサイト A の CE(カスタマーエッジ)スイッチを MPLS ネットワークに接続し、PE2 はサイト B の CE スイッチを MPLS ネットワークに接続します。サイトAとサイトBのCEスイッチを接続するCCCでMACsecが有効になっており、CCCを介してサイト間を移動するトラフィックを保護します。ユーザーを CE スイッチに接続するインターフェイス、サイト A の CE スイッチ上のインターフェイス ge-0/0/0、サイト B の CE スイッチ上のインターフェイス ge-0/0/2、および CE スイッチを MPLS クラウドに接続するインターフェイス(サイト A の CE スイッチ上の ge-0/0/0、サイト B の CE スイッチ上の xe-0/1/0)を含む VLAN は、ユーザ間のすべてのトラフィックをMACsecで保護されたCCCに転送するために使用されます。

図 1 に、この例で使用するトポロジを示します。MACsecで保護されたCCCトラフィックは、図の MACsec CCC とラベル付けされています。

図 1: サイト A とサイト B の間の MPLS

表 1 に、このトポロジーにおける MPLS ネットワーク コンポーネントの概要を示します。

表 2 に、このトポロジーで使用される MACsec 接続アソシエーションの概要を示します。MACsecを有効にするには、リンクの両端のインターフェイスに接続性の関連付けを作成します。MACsecは、リンクの両端のインターフェイスが事前共有キーを交換し(事前共有キーは接続アソシエーションで定義されます)、MACsecのリンクを保護する場合に有効になります。

表 3 に、このトポロジーで使用される VLAN の概要を示します。このトポロジーではVLANを使用して、サイトAのユーザーからサイトBのユーザーへのすべての通信をMACsecで保護されたCCCに誘導します。

表 1: MPLS トポロジーのコンポーネント
コンポーネント の説明

PE1

PE スイッチ。

lo0:

  • IP アドレス: 130.1.1.1/32

  • OSPF および RSVP に参加しています。

ge-0/0/0:

  • サイト A を MPLS ネットワークに接続するカスタマー エッジ インターフェイス。

  • PE2 で xe-0/1/1 に接続する CCC。

ge-0/0/1:

  • PE1 をプロバイダ スイッチに接続するコア インターフェイス。

  • IP アドレス: 10.1.5.2/24

  • OSPF、RSVP、および MPLS に参加しています。

供給者

プロバイダー スイッチ。

lo0:

  • IP アドレス: 130.1.1.2/32

  • OSPF および RSVP に参加しています。

ge-0/0/10:

  • プロバイダ スイッチを PE1 に接続するコア インターフェイス。

  • IP アドレス: 10.1.5.1/24

  • OSPF、RSVP、および MPLS に参加しています。

xe-0/0/0:

  • プロバイダ スイッチを PE2 に接続するコア インターフェイス。

  • IP アドレス: 10.1.9.1/24

  • OSPF、RSVP、および MPLS に参加しています。

PE2

PE スイッチ。

lo0:

  • IP アドレス: 130.1.1.3/32

  • OSPF および RSVP に参加しています。

xe-0/1/0

  • PE2 をプロバイダ スイッチに接続するコア インターフェイス。

  • IP アドレス: 10.1.9.2/24

  • OSPF、RSVP、および MPLS に参加しています。

xe-0/1/1

  • サイト B を MPLS ネットワークに接続するカスタマー エッジ インターフェイス。

  • PE1 の ge-0/0/0 に接続する CCC。

lsp_to_pe2_xe1ラベルスイッチパス

PE1 から PE2 へのラベルスイッチ パス。

lsp_to_pe1_ge0ラベルスイッチパス

PE2 から PE1 へのラベルスイッチ パス。

表 2: MACsec 接続アソシエーションの概要
接続性アソシエーション の説明

CCC-MACsec

サイトAをサイトBに接続するCCCでMACsecを有効にする接続性の関連付け。

接続性の関連付けは、次のインターフェイスで有効になっています。

  • サイト A の CE スイッチ:ge-0/0/0

  • サイトB の CE スイッチ:xe-0/1/0

表 3: VLAN の概要
VLAN の説明

MACsec

サイトAのユーザーとサイトBのユーザー間のトラフィックをMACsecで保護されたCCCに転送するVLAN。

VLANには、以下のインターフェイスが含まれます。

  • サイト A の CE スイッチ:ge-0/0/0

  • サイト A の CE スイッチ:ge-0/0/1

  • サイトB の CE スイッチ:xe-0/1/0

  • サイト B の CE スイッチ:ge-0/0/2

MPLS の設定

このセクションでは、MPLS ネットワーク内の各スイッチで MPLS を設定する方法について説明します。

この章は、以下のセクションで構成されています。

スイッチ PE1 での MPLS の設定

CLIクイック構成

PE1 スイッチで MPLS 設定をすばやく設定するには、次のコマンドを使用します。

手順

スイッチPE1でMPLSを設定するには、次の手順に従います。

  1. トラフィック制御を有効にして OSPF を設定します。

  2. ループバック アドレスとコア インターフェースで OSPF を設定します。

  3. このスイッチ(PE1)に MPLS を設定し、PE2 スイッチへの LSP を設定します。

  4. コア インターフェースで MPLS を設定します。

  5. ループバック インターフェースとコア インターフェースで RSVP を設定します。

  6. ループバック インターフェースとコア インターフェースの IP アドレスを設定します。

  7. コア インターフェイス アドレスの論理ユニットで family mpls を設定します。

  8. カスタマー エッジ インターフェースの論理ユニットを CCC として設定します。

  9. PE1 から PE2 へのインターフェースベース CCC を設定します。

業績

設定の結果の表示:

プロバイダ スイッチでの MPLS の設定

CLIクイック構成

プロバイダ スイッチで MPLS 設定を迅速に設定するには、次のコマンドを使用します。

手順

プロバイダ スイッチを設定するには:

  1. トラフィック制御を有効にして OSPF を設定します。

  2. ループバック インターフェースとコア インターフェースで OSPF を設定します。

  3. スイッチのコア・インタフェースに MPLS を設定する。

  4. ループバック インターフェースとコア インターフェースで RSVP を設定します。

  5. ループバック インターフェースとコア インターフェースの IP アドレスを設定します。

  6. コア インターフェイス アドレスの論理ユニットで family mpls を設定します。

  7. PE2 スイッチに LSP を設定します。

業績

設定の結果の表示:

スイッチ PE2 での MPLS の設定

CLIクイック構成

スイッチPE2でMPLS設定を迅速にcConfigurationするには、次のコマンドを使用します。

手順

スイッチPE2を設定するには:

  1. トラフィック制御を有効にして OSPF を設定します。

  2. ループバック インターフェースとコア インターフェースで OSPF を設定します。

  3. このスイッチ(PE2)に MPLS を設定し、もう一方の PE スイッチ(PE1)への LSP(ラベルスイッチパス)を設定します。

  4. コア インターフェースで MPLS を設定します。

  5. ループバック インターフェースとコア インターフェースで RSVP を設定します。

  6. ループバック インターフェースとコア インターフェース向けの IP アドレスを設定します。

  7. コア インターフェースの論理ユニットで family mpls を設定します。

  8. カスタマー エッジ インターフェースの論理ユニットを CCC として設定します。

  9. プライマリエッジスイッチ間のインターフェースベースCCCを設定します。

業績

設定の結果の表示:

MACsecの設定

このセクションでは、トポロジー内の各スイッチで MACsec を設定する方法について説明します。

この章は、以下のセクションで構成されています。

サイトAのCEスイッチでMACsecを設定し、サイトBへのトラフィックを保護

CLIクイック構成

手順

この例では、財務上の機密データを頻繁に交換するユーザ間のトラフィックは、MPLSクラウドを介してCCC上のサイト間で送信されます。MPLS PEスイッチに接続するサイトAとサイトBのCEスイッチ上のインターフェイスにMACsec接続アソシエーションを設定することにより、CCCでMACsecを有効にします。MACsec-Secure 接続を確立するには、接続アソシエーション名(この例では ccc-macsec)、一致する CKN(この例では 37c9c2c45ddd012aa5bc8ef284aa23ff6729ee2e4acb66e91fe34ba2cd9fe311)、および CAK(この例では 228ef255aa23ff6729ee664acb66e91f)が一致している必要があります。

サイトAをサイトBに接続するCCCでMACsecを有効にするには、サイトAのCEスイッチで以下の手順を実行します。

  1. ccc-macsec という名前の接続性の関連付けを作成し、MACsec セキュリティ モードを次のように構成static-cak

  2. CKN と CAK を設定して事前共有キーを作成します。

  3. PE1スイッチに接続するインターフェイスに接続関連付けを割り当てます。

    これで、CCCの一方の端で接続性の関連付けを設定する手順が完了しました。MACsecは、一致する事前共有鍵との接続アソシエーションが、CCCのリンクの反対側(この場合はサイトB CEスイッチのインターフェイス)で有効になるまで有効になりません。サイト B の CE スイッチで接続性の関連付けを構成するプロセスは、次のセクションで説明します。

業績

設定の結果の表示:

サイトAへのトラフィックをセキュアにするためのサイトBのCEスイッチでのMACsecの設定

CLIクイック構成

手順

トラフィックは、CCC を使用して MPLS ネットワークを介してサイト B からサイト A に移動します。MPLS PEスイッチに接続するサイトAとサイトBのCEスイッチ上のインターフェイスにMACsec接続アソシエーションを設定することにより、CCCでMACsecを有効にします。MACsec-Secure 接続を確立するには、接続性の関連付けに一致する接続アソシエーション名(この例では ccc-macsec)、一致する CKN(37c9c2c45ddd012aa5bc8ef284aa23ff6729ee2e4acb66e91fe34ba2cd9fe311)、一致する CAK(228ef255aa23ff6729ee664acb66e91f)がなければなりません。

サイトBをサイトAに接続するCCCでMACsecを有効にするには、サイトBのCEスイッチで以下の手順を実行します。

  1. ccc-macsec という名前の接続性の関連付けを作成し、MACsec セキュリティ モードを次のように構成static-cak

  2. CKN と CAK を設定して事前共有キーを作成します。

  3. スイッチPE2に接続するインターフェイスに接続アソシエーションを割り当てます。

    CCC の MACsec は、事前共有鍵が交換された後、この手順が完了した直後に有効になります。

業績

設定の結果の表示:

MACsecで保護されたCCCにトラフィックを送信するためのVLANの設定

このセクションでは、サイト A およびサイト B の CE スイッチで VLAN を設定する方法について説明します。VLANの目的は、MACsecで保護されたいトラフィックをMACsecで保護されたCCCに転送することです。

サイトAのCEスイッチにあるMACsec CCCにトラフィックを送信するためのVLANの設定

CLIクイック構成

手順

サイトAのユーザーからMACsecで保護されたCCCにトラフィックを誘導するVLAN(VLAN ID 50)を作成するには、以下を行います。

  1. ge-0/0/0 インターフェイスを MACsec VLAN に設定します。

  2. ge-0/0/2 インターフェイスを MACsec VLAN に設定します。

  3. MACsec VLAN ブロードキャスト ドメインの IP アドレスを作成します。

  4. MACsec VLAN の VLAN タグ ID を 50 に設定します。

  5. レイヤー 3 インターフェイスを macsec VLAN に関連付けます。

業績

設定の結果の表示:

サイトB の CE スイッチの MACsec CCC にトラフィックを送信するための VLAN の設定

CLIクイック構成

手順

サイトBのユーザーのトラフィックをMACsecで保護されたCCCに転送するためのVLAN(VLAN ID 50)を作成するには:

  1. ge-0/0/2 インターフェイスを MACsec VLAN に設定します。

  2. xe-0/1/0 インターフェイスを MACsec VLAN に設定します。

  3. MACsec VLAN ブロードキャスト ドメインの IP アドレスを作成します。

  4. MACsec VLAN の VLAN タグ ID を 50 に設定します。

  5. レイヤー 3 インターフェイスを macsec VLAN に関連付けます。

業績

設定の結果の表示:

検証

設定が正常に機能していることを確認するには、次のタスクを実行します。

MACsec接続の検証

目的

CCC で MACsec が動作していることを確認します。

アクション

一方または両方のカスタマーエッジ(CE)スイッチで show security macsec connections コマンドを入力します。

意味

Interface name: および CA name: 出力は、ccc-macsec 接続アソシエーションがインターフェイス ge-0/0/0 で動作していることを示しています。インターフェイス上で接続アソシエーションが動作していない場合、出力は表示されません。

CCCでMACsecが動作していることをさらに確認するために、もう一方のCEスイッチで show security macsec connections コマンドを入力することもできます。

MACsecで保護されたトラフィックがCCCを通過していることを検証する

目的

CCCを通過するトラフィックがMACsecで保護されていることを確認します。

アクション

一方または両方の CE スイッチで show security macsec statistics コマンドを入力します。

意味

Secure Channel transmitted出力の下のEncrypted packets行は、MACsec によって保護および暗号化されたインターフェイスからパケットが送信されるたびにインクリメントされます。Encrypted packets出力は、9784個の暗号化およびセキュアパケットがインターフェイスge-0/0/0から送信されたことを示しています。そのため、MACsecで保護されたトラフィックは、インターフェイスge-0/0/0で送信されます。

Secure Association received出力の下のAccepted packets行は、MACsec整合性チェックに合格したパケットがインターフェイスで受信されるたびにインクリメントされます。Secure Association received出力の下のDecrypted bytes行は、暗号化されたパケットを受信して復号化するたびにインクリメントされます。出力は、インターフェイスge-0/0/0で9791個のMACsecで保護されたパケットが受信され、それらのパケットからの2823555バイトが正常に復号化されたことを示しています。そのため、MACsecで保護されたトラフィックは、インターフェイスge-0/0/0で受信されます。

さらに確認するために、もう一方のCEスイッチで show security macsec statistics コマンドを入力することもできます。

MPLS および CCC プロトコルがプロバイダ エッジとプロバイダ スイッチのインターフェイスで有効になっていることを検証します。

目的

PE およびプロバイダ スイッチの正しいインターフェイスで MPLS が有効になっていることを確認します。

アクション

PE スイッチとプロバイダー スイッチの両方で show interfaces terse コマンドを入力します。

意味

出力では、MPLSトラフィックを通過するプロバイダスイッチインターフェイス(xe-0/0/0およびge-0/0/10)と、MPLSトラフィックを通過するPEスイッチインターフェイス(PE1スイッチのインターフェイスge-0/0/1、PE2スイッチのインターフェイスxe-0/1/0)でMPLSプロトコルが稼働していることを確認します。

出力はまた、CEスイッチに面するPEスイッチインターフェイス(PE1スイッチのインターフェイスge-0/0/0およびPE2スイッチのインターフェイスxe-0/1/1)でCCCが有効になっていることを確認します。

MPLS ラベル動作の検証

目的

CCC の始点としてどのインターフェースが使われているか、MPLS パケットをネクスト ホップにプッシュするためにどのインターフェースが使われているかを検証します。

アクション

一方または両方の PE スイッチで show route forwarding-table family mpls を入力します。

意味

この出力は、CCC がインターフェイス ge-0/0/0.0 で設定されていることを確認します。スイッチはge-0/0/1.0でイングレストラフィックを受信し、ラベル299952をパケットにプッシュし、パケットはインターフェイスge-0/0/1.0を介してスイッチを出ます。また、スイッチがラベル 299856 の MPLS パケットを受信すると、ラベルをポップして、インターフェイス ge-0/0/0.0 を介してパケットを送信することも示しています

MPLS ラベル動作をさらに確認するには、もう一方の PE スイッチで show route forwarding-table family mpls を入力します。

MPLS CCC のステータスの検証

目的

MPLS CCCが動作していることを確認します。

アクション

PE スイッチで show connections コマンドを入力します。

show connectionsコマンドは、CCC接続のステータスを表示します。この出力では、CCC インターフェイスとそれに関連する送信および受信 LSP が両方の PE スイッチでUpされていることを確認します。

OSPF の動作確認

目的

OSPF が実行中であることを確認します。

アクション

プロバイダーまたは PE スイッチで show ospf neighbor コマンドを入力し、 State 出力を確認します。

意味

State出力は、OSPFを使用するすべてのインターフェイスでFullされるため、OSPFは動作しています。

OSPFでさらに確認するには、プロバイダースイッチに加えてPEスイッチでも show ospf neighbor コマンドを入力します。

RSVP セッションのステータスの検証

目的

RSVP セッションのステータスを検証します。

アクション

show rsvp session コマンドを入力し、各 RSVP セッションの状態がアップであることを確認します。

意味

すべての接続で StateUp ため、RSVP は正常に動作しています。

さらに確認するには、プロバイダー スイッチに加えて PE スイッチにも show rsvp session を入力します。